610 - Definición y regulación de las llamadas autoridades de protección de datos

Órganos controladores del cumplimiento de normas en protección de datos

El contenido del título VII de la LOPDGDD se dedica a la regulación de las autoridades de protección de datos, en concreto, siguiendo este esquema:

A TENER EN CUENTA. Por la publicación de la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos, se añade un nuevo artículo 53 bis a la LOPDGDD en vigor desde el 10/05/2023.

¿Qué son las autoridades de protección de datos?

Es importante acudir al artículo 51.1 del RGPD que ordena que «Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante "autoridad de control") supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión».

Obedeciendo a lo anterior, se crearon las autoridades de protección de datos, de carácter público e independientes que supervisan, por medio de sus competencias de inspección, el buen funcionamiento y la buena práctica del RGPD y colaboran entre sí con ese fin. Asimismo, ofrecen asesoramiento experto en cuestiones relacionadas con la protección de datos y tramitan reclamaciones presentadas por la violación del Reglamento general de protección de datos y las legislaciones nacionales pertinentes. Existirá al menos una en cada Estado miembro de la UE.

RESOLUCIÓN RELEVANTE

STSJ de Madrid n.º 910/2021, de 29 de diciembre, ECLI:ES:TSJM:2021:15194

«Por lo que se refiere a la alegación de que la sentencia de instancia vulnera lo dispuesto en el artículo 51 del RGPD que regula Autoridad de control y dispone: '1. Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante 'autoridad de control') supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.

2. Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII.

3. Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité, y establecerá el mecanismo que garantice el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia a que se refiere el artículo 63.

4. Cada Estado miembro notificará a la Comisión las disposiciones legales que adopte de conformidad con el presente capítulo a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que afecte a dichas disposiciones.'y en el artículo 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que regula las funciones y potestades de la Agencia Española de Protección de Datos y señala que 'Corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del Reglamento (UE) 2016/679 y, en particular, ejercer las funciones establecidas en el artículo 57 y las potestades previstas en el artículo 58 del mismo reglamento, en la presente ley orgánica y en sus disposiciones de desarrollo. Asimismo, corresponde a la Agencia Española de Protección de Datos el desempeño de las funciones y potestades que le atribuyan otras leyes o normas de Derecho de la Unión Europea.', por entender que la no puede el Juzgado de lo Social determinar si la actora ostenta la categoría o el puesto de Data Protection Officer, esta Sala desde luego no entiende que de los referidos preceptos se desprenda esa conclusión, ni tampoco de los artículos 57 y 58 de la reseñada Ley Orgánica que recogen sus funciones y sus poderes, pues la Agencia Española de Protección de Datos básicamente tiene como finalidad la de supervisar la aplicación de la Ley Orgánica y del Reglamento y no propiamente determinar cuándo se debate en un procedimiento de despido si la categoría de un empleado es la de Data Protection Officer, si de acuerdo con la normativa legal aplicable se debe concluir si es o no esa la categoría, por lo que se rechaza la falta de competencia que se atribuye al Juzgado».

CUESTIÓN

En el marco del examen de un abuso de posición dominante por parte de una empresa, ¿los artículos 51 y siguientes del RGPD deben ser interpretados en el sentido de que una autoridad de defensa de la competencia de un Estado miembro puede concluir, con arreglo al artículo 102 del TFUE, que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de tales condiciones no son conformes con el RGPD?

Para el análisis de una posible posición dominante por parte de una empresa, la autoridad de defensa de la competencia debe tener en cuenta todas las circunstancias del caso concreto y por tanto puede resultar necesario que examine la conformidad de dicha empresa con normas distintas de las incluidas en el derecho de competencia, como son las normas en materia de protección de datos personales establecidas en el RGPD. Con relación a esta materia se ha pronunciado el TJUE en la sentencia, asunto C-252/21, de 4 de julio de 2023, ECLI:EU:C:2023:537, en la que señala:

«Pues bien, habida cuenta de los diferentes objetivos perseguidos por las normas establecidas, por un lado, en materia de competencia, en particular el artículo 102 TFUE, y, por otro, en materia de protección de datos personales en virtud del RGPD, procede declarar que, cuando una autoridad nacional de defensa de la competencia señala una infracción de ese Reglamento en el marco de la declaración de un abuso de posición dominante, no suplanta a las autoridades de control. En particular, tal autoridad nacional de defensa de la competencia no controla la aplicación de dicho Reglamento ni lo hace aplicar con la finalidad contemplada en el artículo 51, apartado 1, de este, a saber, proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y facilitar la libre circulación de datos personales en la Unión. Además, al limitarse a señalar la falta de conformidad de un tratamiento de datos con el RGPD solo al efecto de declarar la existencia de un abuso de posición dominante y al imponer medidas dirigidas al cese de ese abuso sobre una base jurídica derivada del Derecho de la competencia, tal autoridad no ejerce ninguna de las funciones que figuran en el artículo 57 de ese Reglamento, como tampoco hace uso de los poderes reservados a la autoridad de control en virtud del artículo 58 de dicho Reglamento».

Como bien dispone el citado artículo 51 del RGPD, los Estados miembros pueden establecer varias autoridades de control, y en esos casos el Estado debe designar la autoridad que representará a las demás ante el Comité y establecerá un mecanismo de coherencia y cooperación entre ellas. 

En España, a nivel estatal, encontramos la Agencia Española de Protección de Datos (AEPD) y a nivel autonómico (a fecha de hoy):

• La Autoridad Catalana de Protección de Datos.
• La Agencia Vasca de Protección de Datos.
• El Consejo de Transparencia y Protección de Datos de Andalucía.

Régimen jurídico y naturaleza de la Agencia Española de Protección de Datos

Fue creada por el artículo 34, apartado 1, de la LO 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, hoy derogada.

La AEPD, como dispone el artículo 44 de la LOPDGDD , «(...) es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones».

CUESTIÓN

La AEPD actúa siempre con plena independencia, pero ¿esto significa que no será nunca objeto de control por otros organismos? 

El RGPD en su considerando (118) hace un pequeño inciso y dispone que esta independencia no debe significar que dichas autoridades puedan quedar exentas de mecanismos de control o supervisión. Es más, considera que ha de someterse a mecanismos de control judicial o respecto a sus gastos financieros.

La AEPD ostenta la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos, colaborando con el CGPJ para el desempeño de las funciones que la LOPJ les atribuye en materia de protección de datos personales en la Administración de Justicia. En cuanto a sus relaciones con el Gobierno central, estas se desarrollarán a través del Ministerio de Justicia.